La menace quantique plane. Dans une note publiée en avril, l’Agence nationale de la sécurité des systèmes d'information (Anssi) rappelle l’importance de se protéger dès maintenant contre les cyberattaques « que l’émergence d’ordinateurs quantiques de grande taille rendrait possibles ». Pour cela, l’agence préconise une migration progressive vers des systèmes de cryptographie dite post-quantique, basée sur des algorithmes conventionnels taillés pour contrer la puissance du calcul quantique. Tour du sujet en trois questions.
1. Pourquoi les calculateurs quantiques représentent-ils un danger?
D’après l’agence, les algorithmes de cryptographie existants reposent essentiellement sur deux problèmes mathématiques « impossibles à résoudre en un temps raisonnable compte tenu des ressources informatiques et des connaissances mathématiques actuelles » : la factorisation de grands nombres et le calcul de logarithmes discrets.
Problème : les calculateurs quantiques sont parfaitement adaptés pour résoudre ces calculs. Dès 1994, le chercheur Peter Shor présentait un algorithme capable de briser la plupart des systèmes de cryptographie encore utilisés aujourd'hui. Théorique, cet algorithme ne peut être exécuté que sur un calculateur quantique parfait, protégé contre les erreurs, programmable et comptant plusieurs millions de qubits.
« L’existence d’un tel ordinateur impliquerait un effondrement de la sécurité de la cryptographie à clé publique actuellement déployée », alerte l’Anssi, tout en rappelant que « les prototypes d’ordinateurs quantiques existants sont encore loin de la capacité et stabilité requises ». Comptant au mieux quelques milliers de qubits prompts aux erreurs, ces machines ne représentent donc aucun risque… pour l’instant.
2. Pourquoi faut-il se protéger dès maintenant?
S’il reste encore beaucoup de recherche en physique, informatique et ingénierie avant de faire passer le calcul quantique à l’échelle, « la menace d’attaques rétroactives ne doit pas être écartée », prévient l’agence. « Une famille d’attaque, désignée en anglais par "store now, decrypt later attacks", consiste à enregistrer dès aujourd’hui des communications chiffrées dans le but de les déchiffrer plus tard », est-il indiqué dans le document.
Il est ainsi possible qu’un attaquant stocke les données transmises sur un canal sécurisé et attende d’avoir accès à un calculateur quantique pertinent pour la cryptographie pour y accéder. « La menace d’attaques rétroactives est d’autant plus pertinente que les informations échangées aujourd’hui sont sensibles et doivent demeurer longtemps confidentielles », souligne l’agence.
A cela s’ajoute le risque qu’un ordinateur créé des signatures électroniques factices « et permettre l’usurpation de l’identité de serveurs ou d’autres entités impliquées dans des échanges électroniques », anticipe l’Anssi. Un tiers malveillant pourrait alors compromettre à posteriori la signature d’un document, même s’il a été signé avant l’émergence de calculateurs quantiques suffisamment puissants.
3. Comment se prémunir de cyberattaques quantiques?
Se prémunir contre de futures cyberattaques quantiques ne signifie pas remplacer la totalité de ses protocoles, au contraire. Reconnaissant « l’immaturité de la cryptographie post-quantique », l’Anssi affirme qu’elle « n’approuvera aucun remplacement direct à court ou moyen terme » mais « encourage tout de même à entamer l’initiation dans les mois qui viennent d’une transition graduelle ».
Tout en conservant ses systèmes de sécurité actuels, l’agence conseille de mettre en place sans tarder de nouvelles couches post-quantiques et de les développer peu à peu jusqu’à ce qu’elles atteignent un niveau de sécurité suffisant. L'agence rappelle l’importance d’utiliser des produits de sécurité dits cryptoagiles, pouvant être mis à jour « sans avoir à le rappeler ni à le substituer par un nouveau produit ».
Le programme de transition proposé par l’Anssi est découpé en trois phases. La première correspond à la situation actuelle, où la sécurité post-quantique « est considérée comme une défense en profondeur optionnelle ». Cette phase – qui ne devrait pas s’étendre au-delà de 2025 – est vouée à « permettre les premiers déploiements post-quantiques avec flexibilité, tout en préservant la sécurité pré-quantique grâce à des mécanismes hybrides », explique l'organisme, qui cite les programmes FrodoKEM, Crystals-Kyber, Crystals-Dilithium ou Falcon comme « de bonnes options pour de premiers déploiements ».
La deuxième phase vise à intégrer systématiquement des algorithmes post-quantiques offrant une garantie sécurité avérée, surtout « pour les produits revendiquant une sécurité à long terme », note l’agence. Après 2030, l’Anssi s’attend à ce que « le niveau d’assurance de sécurité fourni par les algorithmes post-quantiques soit aussi élevé que le niveau d’assurance pré-quantique actuel ». Lors de cette troisième phase, les algorithmes post-quantiques pourront, pour certains usages, remplacer complètement les algorithmes pré-quantiques. Actant définitivement la transition vers les standards de cybersécurité de demain.
